Η ομάδα χάκερ Volt Typhoon (Bronze Silhouette), που χρηματοδοτείται από το κράτος της Κίνας, συνδέεται με ένα εξελιγμένο botnet με το όνομα ‘KV-botnet‘, το οποίο χρησιμοποιείται από το 2022 τουλάχιστον, για επιθέσεις σε δρομολογητές SOHO σε στόχους υψηλής αξίας.
Δείτε επίσης: RapperBot botnet: Νέα έκδοση με δυνατότητες cryptomining
Η Volt Typhoon στοχεύει συνήθως σε δρομολογητές, φραγματοποιητές και συσκευές VPN για να ανακατευθύνει κακόβουλη κίνηση και να την αναμειγνύει με νόμιμη κίνηση προκειμένου να παραμείνει κρυμμένη.
Μία κοινή αναφορά από τη Microsoft και την αμερικανική κυβέρνηση, εκτιμά ότι οι επιτιθέμενοι δημιουργούν υποδομές που μπορούν να χρησιμοποιηθούν για να διαταράξουν την επικοινωνιακή υποδομή στις Ηνωμένες Πολιτείες.
“Η Microsoft αξιολογεί με μέτρια βεβαιότητα ότι αυτή η εκστρατεία Volt Typhoon επιδιώκει την ανάπτυξη ικανοτήτων που μπορεί να διαταράξουν την κρίσιμη υποδομή επικοινωνιών μεταξύ Ηνωμένων Πολιτειών και της περιοχής της Ασίας κατά τη διάρκεια μελλοντικών κρίσεων“, προειδοποιεί η Microsoft.
Μία λεπτομερής αναφορά που δημοσιεύθηκε σήμερα από την ομάδα Black Lotus Labs της Lumen Technologies αποκαλύπτει ότι μια εκστρατεία της Volt Typhoon στοχεύει Netgear ProSAFE, Cisco RV320s, routers DrayTek Vigor και, πιο πρόσφατα, σε κάμερες Axis IP.
“Η εκστρατεία μολύνει συσκευές στην άκρη των δικτύων, ένα τμήμα που έχει αποδειχθεί ευάλωτο στον αμυντικό σχηματισμό πολλών επιχειρήσεων, ενισχυμένο από τη μετάβαση στην απομακρυσμένη εργασία τα τελευταία χρόνια,” εξηγεί η Lumen.
Το μυστικό δίκτυο μεταφοράς δεδομένων που χτίστηκε με τη βοήθεια του KV-botnet χρησιμοποιήθηκε σε επιθέσεις που είχαν ως στόχο τους παρόχους τηλεπικοινωνιών και διαδικτύου, μια θεσμική κυβέρνηση στην Γκουάμ, μια εταιρεία ανανεώσιμης ενέργειας στην Ευρώπη και οργανισμούς των ΗΠΑ.
Δείτε ακόμα: FBI: Διεθνής επιχείρηση οδήγησε στη διακοπή λειτουργίας του Qakbot botnet
Ο στόχος του KV-botnet υποδεικνύει μια εστίαση στην κατασκοπεία και τη συλλογή πληροφοριών, αν και η Black Lotus αναφέρει ότι πολλές από τις μολύνσεις φαίνονται ευκαιριακές.
Η δραστηριότητα του botnet αυξήθηκε σημαντικά από τον Αύγουστο του 2023 και ξανά στα μέσα του Νοεμβρίου του 2023. Η πιο πρόσφατη παρατηρούμενη ημερομηνίη επίθεσης είναι η 5 Δεκεμβρίου 2023, οπότε η κακόβουλη δραστηριότητα εξακολουθεί να υφίσταται.
Η Black Lotus αναγνώρισε δύο ομάδες δραστηριοτήτων, που ονομάζονται ‘KV’ και ‘JDY’. Η πρώτη στοχεύει σε οντότητες υψηλής αξίας και πιθανότατα λειτουργεί με χειροκίνητο τρόπο, ενώ η δεύτερη ασχολείται με πιο ευρεία σάρωση χρησιμοποιώντας λιγότερο εξελιγμένες τεχνικές.
Το botnet στοχεύει σε συσκευές που έχουν φθάσει στο τέλος της ζωής τους και χρησιμοποιούνται από οντότητες SOHO που δεν διατηρούν σωστή ασφάλεια. Οι υποστηριζόμενες αρχιτεκτονικές περιλαμβάνουν ARM, MIPS, MIPSEL, x86_64, i686, i486 και i386.
Αρχικά, οι επιθέσεις επικεντρώθηκαν σε δρομολογητές Cisco RV320s, δρομολογητές DrayTek Vigor και τείχη προστασίας NETGEAR ProSAFE. Ωστόσο, αργότερα ο κακόβουλος κώδικας επεκτάθηκε για να στοχεύσει επίσης κάμερες Axis IP όπως τα μοντέλα M1045-LW, M1065-LW και p1367-E.
Η Volt Typhoon εμπλέκεται σε ένα περίπλοκο αλυσιδωτό μοτίβο μόλυνσης που περιλαμβάνει πολλά αρχεία όπως bash scripts (kv.sh), διακόπτοντας συγκεκριμένες διεργασίες και αφαιρώντας εργαλεία ασφαλείας που εκτελούνται στη μολυσμένη συσκευή.
Δείτε επίσης: IPStorm: Το botnet με τους 23.000 διακομιστές καταρρίφθηκε
Ένα από τα βασικά βήματα για την προστασία από το KV-Botnet είναι η ενημέρωση και η εφαρμογή των τελευταίων ενημερώσεων λογισμικού και λειτουργικού συστήματος. Οι κατασκευαστές λογισμικού συχνά εκδίδουν ενημερώσεις που διορθώνουν γνωστά προβλήματα ασφαλείας, οπότε είναι σημαντικό να ελέγχετε και να εφαρμόζετε αυτές τις ενημερώσεις στο σύστημά σας.
Ένα άλλο σημαντικό βήμα είναι η εγκατάσταση και η ενημέρωση ενός αξιόπιστου λογισμικού antivirus. Ένα καλό πρόγραμμα antivirus μπορεί να ανιχνεύσει και να αποτρέψει την εισβολή του KV-Botnet στο σύστημά σας. Βεβαιωθείτε ότι το λογισμικό σας είναι ενημερωμένο και ότι πραγματοποιείτε τακτικά σαρώσεις του συστήματός σας για εντοπισμό και αφαίρεση τυχόν κακόβουλου λογισμικού.
Επιπλέον, είναι σημαντικό να είστε προσεκτικοί με τον τρόπο που αλληλεπιδράτε με το διαδίκτυο. Αποφύγετε το άνοιγμα ανεπιθύμητων ηλεκτρονικών μηνυμάτων ή συνημμένων αρχείων από άγνωστους αποστολείς. Επίσης, αποφύγετε την επίσκεψη σε ύποπτες ιστοσελίδες ή το κλικ σε ανεπιθύμητους συνδέσμους. Αυτές οι προφυλάξεις μπορούν να μειώσουν τον κίνδυνο να εκτεθείτε σε κακόβουλο λογισμικό που μπορεί να συνδέεται με το KV-Botnet.
Τέλος, η δημιουργία ενός ισχυρού κωδικού πρόσβασης για το σύστημά σας μπορεί να βοηθήσει στην προστασία από το KV-Botnet. Επιλέξτε έναν μοναδικό και πολύπλοκο κωδικό που περιλαμβάνει γράμματα, αριθμούς και ειδικούς χαρακτήρες. Αποφύγετε τη χρήση εύκολα μαντεύσιμων πληροφοριών όπως τα προσωπικά σας στοιχεία ή απλούς συνδυασμούς. Επίσης, αλλάξτε τακτικά τον κωδικό πρόσβασής σας για να δυσκολεύετε τυχόν εξωτερικές εισβολές.
Πηγή: bleepingcomputer
